朝鮮國家支持的黑客組織"拉撒路集團"（Lazarus Group）近期發(fā)起代號為"虛假面試"（ClickFake Interview）的新攻擊行動，專門針對加密貨幣行業(yè)的求職者。該組織通過偽造的面試網站，在Windows和macOS系統(tǒng)上部署基于Go語言的后門程序"GolangGhost"。

此次行動是此前已曝光的"傳染性面試"（Contagious Interview）攻擊活動的升級版，顯示出該組織對加密貨幣生態(tài)系統(tǒng)的持續(xù)關注與戰(zhàn)術進化。拉撒路集團自2009年起活躍至今，長期從事網絡間諜和金融犯罪活動，為朝鮮導彈與核計劃提供資金支持。2017年后，該組織顯著加強了對加密貨幣實體的攻擊，采用惡意軟件、供應鏈攻擊、木馬化應用程序及虛假職位招聘等多種手段。

2025年3月，該組織從阿聯酋交易所Bybit竊取15億美元，制造了加密貨幣史上最大規(guī)模的黑客事件，凸顯其攻擊手段日趨成熟。

"虛假面試"攻擊手法解析

"虛假面試"行動沿用了"傳染性面試"的戰(zhàn)術框架——后者曾通過LinkedIn或X（原Twitter）等平臺，以虛假面試為誘餌針對軟件開發(fā)人員發(fā)起攻擊。

在新攻擊中，攻擊者使用ReactJS構建高度仿真的面試網站，通過動態(tài)加載JavaScript文件模擬正規(guī)招聘流程。受害者被要求填寫表格、回答加密貨幣相關問題，并開啟攝像頭進行"面試"。在關鍵環(huán)節(jié)，網站會彈出錯誤提示，誘騙用戶下載所謂的驅動程序或腳本，從而觸發(fā)感染鏈。

感染鏈根據操作系統(tǒng)存在差異：

• Windows系統(tǒng)：通過Visual Basic腳本（VBS）下載基于NodeJS的惡意負載（nvidia.js），將惡意組件釋放至臨時目錄。后門程序通過注冊表鍵值實現持久化，最終由批處理文件靜默啟動GolangGhost后門。
• macOS系統(tǒng)：Bash腳本（coremedia.sh）在下載惡意文件的同時，會創(chuàng)建啟動代理plist文件實現持久化。在部署GolangGhost前，名為"FrostyFerret"的信息竊取程序會通過仿冒Chrome界面竊取系統(tǒng)密碼。

GolangGhost后門具備跨平臺的遠程控制與數據竊取能力，可執(zhí)行Shell命令、上傳下載文件、通過HackBrowserData竊取瀏覽器數據，以及收集系統(tǒng)憑證等敏感信息。該惡意軟件使用RC4加密與C2服務器通信，并通過臨時文件存儲唯一標識符確保單實例運行。

集中式金融平臺成主要目標

對偽造面試網站的分析顯示，拉撒路集團主要針對Coinbase、Kraken、Bybit和Robinhood等集中式金融（CeFi）平臺。與早期側重去中心化金融（DeFi）的攻擊不同，這一轉變符合朝鮮黑客組織對依賴中介交易的CeFi平臺日益增長的興趣。

值得注意的是，這些虛假招聘廣告專門針對非技術崗位（如業(yè)務發(fā)展經理、資產管理專員等），這類人員通常在面試過程中更難察覺異常。攻擊鏈高度依賴短時間內連續(xù)執(zhí)行的命令序列，可通過Sigma關聯規(guī)則或Sekoia操作語言（SOL）查詢等工具監(jiān)測異常腳本執(zhí)行行為進行防御。例如：

text`events | where timestamp >= ago(7d) | where process.command_line contains~ "temp" | where process.name in ["curl.exe", "powershell.exe", "wscript.exe"] | aggregate cmd_line = make_set(process.command_line) by host.name, process.parent.pid `

此外，檢查注冊表中是否存在包含cmd.exe的可疑鍵值也有助于識別受感染系統(tǒng)。

"虛假面試"行動再次證明了拉撒路集團針對加密貨幣實體的攻擊適應能力。通過虛假招聘和"ClickFix"等新型攻擊手法，該組織持續(xù)對全球集中式金融平臺構成重大威脅。

其針對非技術員工的新策略，顯示出該組織正試圖通過安全意識較弱的目標實現攻擊突破，同時保持為朝鮮政權獲取資金的終極目標。